Artikel 5 februari 2021

Overladen rechten in SAP-applicaties risico (part II)

Deel 2/3

Veel bedrijven met SAP-erp-software hanteren een set met bovenmaats kritische rechten. Daarbij worden applicaties en afdelingen die dit controleren handig omzeild. Dit schaadt uiteindelijk het bedrijf en geeft fraudeurs, hackers en malware vrij spel. De oplossing ligt niet in techniek of in een applicatie maar in hoe we met security omgaan. Dit is het tweede deel van een drieluik over de spanningsvelden die ontstaan bij het oplossen van kritische rechten en het politieke spel van het verbergen van rechten.

Een accountant die na de jaarcontrole een fraudegevoelige omgeving aantreft, zal met recht beweren dat misbruik nu slechts een kwestie van tijd is. Daarom moeten de vergroeide autorisaties eerst los gemaakt worden. Dat komt er op neer dat je kleine brokjes autorisatie hebt waarmee tot de ene functie óf tot de andere functie toegang kunt geven. Je hebt vanaf dat moment dus een keuze in het toekennen van autorisaties.

Dit zijn de fasen in het oplossen van  segregation of duties (sod)-conflicten:

  • Fase 1: Bewustwording dat het elimineren van functieconflicten nodig is;
  • Fase 2: Aanschaffen van een applicatie die sod’s kan detecteren;
  • Fase 3: Herbouwen van autorisatie als deze vergroeid is;
  • Fase 4: Opnieuw samenstellen van het takenpakket van medewerker teams op basis van de oude situatie;
  • Fase 5: Tactisch verschuiven van verschillende taken zodat sod-conflicten vervallen;
  • Fase 6: Zoeken naar oplossingen voor sod-conflicten die vast zitten.

De werkelijke oplossing wordt pas behaald in fase 5 en 6 waar de business zelf met taken gaat schuiven om zo het aantal sod-conflicten te verminderen. Dit betekent dat teams meer specialistisch worden ingericht en dat bestaande teams soms gesplitst worden in hun uitvoerende taken.

Dit is natuurlijk niet waar de business op zit te wachten. De business heeft jaren gewerkt aan een efficiënte werkwijze met uiteenlopende taken per team en dus brede autorisaties. Deze werkwijze is verankerd en zit vast in het hoofd van de medewerkers. In het veranderen van deze werkwijze moet de business zichzelf vaak herontdekken. Er is dus sprake van businesstransformatie.

Dit zorgt voor een spanningsveld tussen het management en de business waar enig vuurwerk aan te pas komt. Dit artikel gaat over dit spanningsveld en hoe het zich een weg baant. Een spanningsveld waar internal audit midden in zit.

Lees het volledige artikel op computable.nl

Ook interessant